Zusammenfassung
Die Wohnungsbranche ist derzeit mit den großen Herausforderungen der Digitalisierung konfrontiert. Mit der zunehmenden Digitalisierung fallen nicht nur vermehrt personenbezogene Daten an, deren Handhabung zu klären ist – auch Datensicherheitsaspekte müssen vermehrt in den Fokus gerückt werden.
Viele klassische Wohnungsunternehmen verfügen größenbedingt nicht über eigene IT-Verantwortliche, weshalb häufig die Gefahr besteht, dass Datenschutz- und Sicherheitsaspekte nicht angemessen beachtet werden. Umso wichtiger ist es, fest in der Unternehmenskultur zu verankern, dass bei allen technischen Neuerungen die datenschutzrechtlichen Fragestellungen von Anfang an miteinbezogen werden.
Die Digitalisierung erstreckt sich mittlerweile auf alle Geschäftsprozesse, dementsprechend viele Themen gibt es zu erörtern. Im Folgenden werden ausgewählte und aktuelle Themen behandelt, die von größter Relevanz für Wohnungsunternehmen sind und bei denen dem Datenschutz bisher ggf. ein zu geringer Stellenwert eingeräumt wurde:
- elektronische Schließsysteme,
- E-Mail-Verschlüsselung,
- Verbrauchsinformation gemäß der novellierten Heizkostenverordnung 2021 und
- Rechenzentren und Cloud-Computing.
1 Elektronische Schließsysteme
Wohnungsunternehmen ersetzen in den Gebäuden vermehrt klassische mechanische Schließanlagen durch elektronische oder elektromechanische Schließsysteme, da die elektronischen Systeme zahlreiche Vorteile bieten. Die Schlüsselverwaltung ist vereinfacht und beim Verlust von Zugangsmedien können diese gesperrt werden, weshalb auf den Austausch einer Schließanlage verzichtet werden kann. Neue Zugangsmedien können mühelos durch die Unternehmen selbst programmiert werden. Es gibt zahlreiche verschiedene Systeme. Vom Grundprinzip arbeiten diese jedoch alle ähnlich, weshalb hier keine Unterscheidungen getroffen werden.
Datenschutzrechtliche Probleme ergeben sich beim Einsatz dieser Systeme in nicht gewerblichen Objekten insbesondere, wenn eine Protokollierung der Schließvorgänge erfolgt. Teilweise speichern die Systeme über einen längeren Zeitraum detailliert die Zutritte mit Datum und Uhrzeit. Auf diese Weise können die Zutritte nachvollzogen und theoretisch Bewegungsprofile erstellt werden.
Grundsätzlich gilt, dass die erfassten Schließvorgänge mit Datum und Uhrzeit als personenbezogene Daten zu werten sind, wenn die Zugangsmedien einem Mitarbeiter, einem Bewohner oder einer Wohneinheit zugeordnet sind. Auf den ersten Blick mag sich nicht erschließen, warum bei der Zuordnung zu einer Wohneinheit personenbezogene Daten anfallen sollen. Eine Wohnung kann jedoch auch von einer einzelnen Person bewohnt sein. Zudem lässt sich nicht ausschließen, dass auch bei mehreren Bewohnern eine Zuordnung zu einer bestimmten Person möglich ist.
Die Zulässigkeit der Protokollierung ist in Wohngebäuden und Geschäftsgebäuden unterschiedlich zu bewerten. In Wohngebäuden ist die Protokollierung der Zutritte grundsätzlich nicht zulässig.
Eine Verarbeitung personenbezogener Daten ist auch bei elektronischen Schließsystemen nur zulässig, wenn eine Rechtsvorschrift dies erlaubt. Zweck einer Schließanlage ist es, die Zutrittsverwaltung zu betreiben und das Hausrecht auszuüben. Hierbei wird in Wohngebäuden die Verarbeitung zur Erfüllung vertraglicher Pflichten über den Mietvertrag legitimiert. Eine Protokollierung ist im Rahmen dieser Zweckbestimmung jedoch nicht erforderlich, weshalb für die Protokollierung eine gesonderte Rechtsgrundlage erforderlich wäre, die aber nicht ersichtlich ist.
In Geschäftsgebäuden ist die Protokollierung der Zutritte im Regelfall zulässig. Es ist allerdings zu beachten, dass die Protokolldaten grundsätzlich nicht für die Leistungs- und Verhaltenskontrolle verwendet werden dürfen. Nur bei einem durch Tatsachen begründeten Verdacht wird sich die Auswertung der Protokolldaten rechtfertigen lassen.
Wohngebäude: Nur Schließanlage ohne Protokollierung
Bei der Auswahl elektronischer Schließanlagen ist darauf zu achten, dass in Wohngebäuden nur Systeme eingesetzt werden dürfen, die die Schließvorgänge nicht protokollieren.
2 E-Mail-Verschlüsselung
Der Großteil der geschäftlichen Kommunikation erfolgt inzwischen per E-Mail. Häufig werden dabei auch personenbezogene Daten übertragen. Die Anforderungen an die Datensicherheit und den Datenschutz werden hierbei regelmäßig nur sehr ungenügend beachtet. Insgesamt besteht in diesem Zusammenhang noch kein ausreichendes Problembewusstsein.
Der Versand einer ungeschützten E-Mail lässt sich mit dem Versand einer Postkarte vergleichen. Grundsätzlich können Informationen, die unverschlüsselt über das Internet gesendet werden, eingesehen, verändert oder verfälscht werden.
Die DSGVO fordert in Art. 32 geeignete technische und organisatorische Maßnahmen, die der Verantwortliche unter Berücksichtigung u. a. des Stands der Technik und der Implementierungskosten zu treffen hat. Demzufolge muss sichergestellt sein, dass personenbezogene Daten bei der elektronischen Übertragung entsprechend ihrem Schutzbedarf angemessen geschützt sind. Da Verschlüsselungs...